Se zkratkou GDPR (z anglického General Data Protection Regulation, tedy "Obecné nařízení o ochraně osobních údajů") jste se zřejmě jako provozovatelé autoškol a školicích středisek již setkali. Definuje ji Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které vstupuje v účinnost od 25. května 2018.
Problematika ochrany osobních údajů není v českém právním řádů žádnou novinkou, doposud ji upravoval Zákon č. 101/2000 Sb., o ochraně osobních údajů. Evropskému nařízení se však dostalo mnohem větší publicity zejména kvůli vysokým sankcím, které hrozí při jeho nedodržování.
Každá fyzická osoba má díky GDPR řadu práv, např.
Na druhé straně GDPR ukládá správcům osobních údajů nejrůznější povinnosti, např. získání souhlasu se zpracováním osobních údajů nebo požadavky na zabezpečení osobních údajů ("elektronické" i fyzické).
Na rozdíl od jiných oborů, autoškoly a školicí střediska mohou řadu osobních údajů zpracovávat i bez souhlasu žáků, zejména díky ustanovení Článku 6, odst. 1, písmeno c) Nařízení (Zpracování je zákonné, pokud je nezbytné pro splnění právní povinnosti, která se na správce vztahuje). Jelikož má autoškola zákonnou povinnost vést evidenční knihu, třídní knihu a další dokumenty, nepotřebuje např. souhlas se zpracováním jména a data narození. Zároveň žák ani nemůže požadovat výmaz těchto svých osobních údajů ihned po dokončení autoškoly, protože byste pak nesplnili autoškolskou povinnost archivovat dokumenty po dobu 5 let. Měli byste však své zákazníky o tomto "zákonném shromažďování" informovat, ať už svých webových stránkách nebo v prostorách autoškoly.
Na druhou stranu pravděpodobně zpracovávate i další údaje, např. telefonní číslo, e-mailovou adresu, v některých případech i fotografie žáků apod. Pro získávání takových údajů nad rámec svých zákonných povinností již nejspíš budete muset mít od dotyčného žáka souhlas, přičemž žák může svůj souhlas kdykoliv odvolat.
Důležité je definovat účel zpracování osobních údajů - pokud Vám např. žák neudělí souhlas se zpracováním data narození pro účely marketingu, neměli byste mu posílat blahopřání k narozeninám, přestože údaj o datu narození máte k dispozici (pouze však za účelem řádného vedení evidence autoškoly).
GDPR klade velký důraz na zabezpečení shromažďovaných údajů. Nejde přitom jen o zabezpečení počítačů a IT obecně, ale i o fyzické zabezpečení prostor, ve kterých se nachází dokumenty s osobními údaji (třídní kniha, evidenční kniha, žádosti, lékařské posudky, zkouškové seznamy apod.).
Oprávněné osoby, které do styku s osobními údaji přichází (zaměstnanci, externí spolupracovníci apod.), by měly být v tomto smyslu proškoleny a měla by s nimi být sepsána dohoda o mlčenlivosti. Autoškola by měla provést taková opatření, aby se k osobním údajům nedostaly neoprávněné osoby, např. uklízečka.
Zajištění souladu s nařízením GDPR si musí každá firma zajistit individuálně, obecné řešení neexistuje. Mezi jednotlivými autoškolami jsou sice značné rozdíly (větší autoškola může mít např. v prostorách autoškoly nainstalovaný kamerový systém, takže papírování bude více než u jednomužné autoškoly), ale určitý základ je společný. Proto vznikla pomůcka GDPR pro autoškoly, která pokrývá všechny základní oblasti a díky níž autoškoly ušetří čas i peníze za zpracování individuálního řešení na zelené louce.